从TikTok企业账号沦陷看“中间人钓鱼”攻击的防御之道

近期，Push Security的研究人员发现了一波针对TikTok Business（TikTok企业版）账户的中间人钓鱼攻击（AiTM）浪潮。这不仅是针对特定平台的攻击，更是网络犯罪分子利用企业数字化转型痛点，将“信任”转化为“武器”的典型案例。本文将深入剖析这一发生在当下的真实威胁，从技术底层逻辑到企业防御策略，为您构建一道坚固的数字防线。

一、看不见的战场，真实的损失

在这个万物互联的时代，社交媒体不仅是信息传播的渠道，更是企业营销的核心战场。TikTok作为全球最受欢迎的短视频平台之一，其企业账号承载着巨额的广告预算和商业机密。然而，正如硬币有两面，高价值往往伴随着高风险。

2026年3月27日，Security Affairs等权威媒体披露，一场精心策划的网络风暴正在席卷TikTok的企业用户。攻击者利用伪装成Google招聘页面和TikTok登录界面的钓鱼网站，通过先进的AiTM技术，不仅窃取账号密码，更意图接管企业的广告预算进行恶意广告投放。这不仅仅是一次简单的密码泄露，而是一场有组织、高技术的商业掠夺。

图：攻击者利用托管在Cloudflare的新注册域名，在加载假的TikTok商务版或谷歌“预约通话”页面之前，会将受害者从合法服务中重定向。

二、一场针对TikTok的“声东击西”

让我们还原这场发生在2026年3月的真实攻击事件。

（一）伪装与诱导：利用“求职”心理的Google伪装

攻击者非常狡猾，他们深知企业员工（尤其是负责营销和广告的人员）的日常行为模式。在这次攻击中，受害者首先接收到的并不是一个粗劣的“钓鱼链接”，而是一个看似来自Google的“Schedule a Call”（预约通话）页面。

场景构建：页面诱导用户填写“姓名”“商务邮箱”“电话号码”等信息。这利用了受害者对Google品牌的信任，以及求职或商务合作的心理惯性。

技术细节：根据调查，当受害者点击链接时，页面会先静默重定向到一个合法的Google Storage站点。这种“合法跳板”技术（Redirect from legitimate service）极大地增加了安全软件的检测难度，因为最初的URL看起来是无害的。

（二）信任的崩塌：TikTok Business的“精准狩猎”

在获取了初步信息后，受害者会被引导至一个精心伪造的TikTok for Business登录页面。这个页面的逼真程度极高，甚至连“Ads Manager”（广告管理）和“Business Center”（企业中心）的UI都完美复刻。

攻击目标：攻击者的目标非常明确——TikTok企业账号。一旦得手，他们就能控制企业的广告预算（Budget）。

后果：账号被劫持后，攻击者会利用企业的资金投放恶意广告，或者进行广告欺诈，将企业的钱装进自己的口袋，同时导致企业账号因违规被封禁。

三、技术深潜：什么是AiTM Phishing？

为什么这次攻击被称为“新型”且“难以防御”？核心在于它使用了AiTM（Adversary-in-the-Middle）技术。

（一）传统钓鱼vs. AiTM钓鱼

传统钓鱼：攻击者伪造一个网页，你输入账号密码，他记录下来，然后告诉你“登录失败”。几天后，他拿着你的密码去尝试登录。这种攻击容易被多因素认证（MFA）拦截。

AiTM钓鱼：攻击者不再只记录密码，而是在你和真实服务器之间搭建了一个“透明代理”。当你输入密码时，他不仅看到了密码，还实时将你的请求转发给真实的TikTok服务器。服务器验证通过后，会返回一个“会话Cookie”，这个Cookie相当于你进入系统的“临时通行证”。AiTM工具会截获这个Cookie，并发送给攻击者。

（二）攻击者的核心武器：Cloudflare与Turnstile

在这次针对TikTok的攻击中，攻击者使用了合法的基础设施来掩盖罪行：

基础设施：攻击者注册了大量短生命周期的域名，并将其隐藏在Cloudflare之后。Cloudflare是一个广泛使用的CDN和安全服务，这让钓鱼网站看起来像是一个正常、受保护的网站。

反检测机制：攻击者使用了Cloudflare Turnstile验证。这听起来很讽刺，因为Turnstile本是用来区分人类和机器人的，但在这里，它被用来阻止安全研究人员的“爬虫”和“自动化分析工具”访问钓鱼页面。只有真实的人类受害者才能看到钓鱼页面，这大大延缓了安全厂商生成黑名单的速度。

（三）连锁反应：Google登录带来的“一石二鸟”

值得注意的是，许多TikTok用户习惯使用“Google账号登录”。在这次攻击中，如果受害者使用了这种方式：

1.受害者被重定向到Google进行认证。

2. AiTM工具截获Google返回的Token。

后果：攻击者不仅获得了TikTok账号的控制权，还顺带窃取了受害者的Google Workspace账号。这可能导致企业邮箱、云端硬盘等核心数据的全面泄露。

四、为什么是TikTok？网络犯罪的经济学

我们不禁要问，为什么攻击者从传统的银行、邮箱转向了TikTok Business？

变现速度快：TikTok企业账号通常绑定了广告账户，里面有预存的现金。攻击者劫持账号后，可以立即创建广告投放任务，将资金消耗在自己的推广项目上。这种变现方式比窃取信用卡信息更直接、更隐蔽。

防御意识薄弱：相比于企业邮箱系统，许多企业对社交媒体账号的安全投入不足。员工往往在个人设备上登录企业社交媒体，且缺乏严格的权限管理和审计机制。

社交工程的沃土：TikTok本身就是一个充满链接和互动的平台。攻击者可以利用平台内的私信、评论区甚至伪造的“官方合作邮件”进行传播。

五、防御体系：企业如何构建“铜墙铁壁”

面对如此高明的攻击，企业和个人应该如何自保？基于这次事件的教训，我们需要建立一个多维度的防御体系。

（一）技术层面的“硬防御”

强制实施多因素认证（MFA）：虽然AiTM可以截获Cookie，但如果企业强制要求使用FIDO2安全密钥（如YubiKey）或基于推送通知的验证，攻击者的难度将呈指数级上升，因为AiTM很难在没有物理密钥的情况下通过生物识别或物理按键的验证。

设备管理与端点检测：部署MDM（移动设备管理）或EDR（端点检测与响应）解决方案。如果员工的设备感染了信息窃取木马（如Vidar或StealC），这些工具可以检测并阻止敏感数据的外泄。

网络层过滤：利用DNS过滤服务阻止对已知恶意域名的访问。虽然攻击者使用短生命周期域名，但结合信誉评分系统，仍能拦截大部分已知的恶意IP和域名。

（二）管理层面的“软实力”

权限最小化原则：不要给所有员工“管理员”权限。对于TikTok广告账户，应区分“查看者”“广告投放者”和“财务管理者”。即使账号被盗，攻击者也无法修改支付方式或消耗大额预算。

独立账号体系：严禁使用个人Google账号登录企业业务系统。企业应建立独立的Google Workspace或Microsoft 365租户，并严格管理SSO（单点登录）策略。

供应链审计：检查所有第三方应用的授权情况。定期清理不再使用的第三方授权，防止攻击者通过OAuth令牌长期潜伏。

（三）人防：反钓鱼意识培训

技术再好，也抵不过员工的一次误点击。

警惕“重定向”：教育员工，即使是从Google Storage等合法网站跳转出来的链接，也可能是钓鱼网站。

检查URL结构：虽然这次攻击使用了复杂的域名，但培训员工识别可疑的域名依然是基础。

建立报告机制：鼓励员工在遇到可疑邮件或网站时，立即向IT部门报告，而不是自己尝试解决。

六、结语：安全是一场永不停歇的马拉松

本案针对TikTok Business的这波AiTM钓鱼攻击，是一个时代的缩影。它告诉我们，网络犯罪已经从“脚本小子”的恶作剧，演变成了高度产业化、技术化的“正规军”作战。

攻击者利用Cloudflare、Google Storage等合法服务作为掩护，利用人性的弱点（求职、合作）作为突破口，利用AiTM技术绕过传统的防御。这不仅是技术的较量，更是心理的博弈。

记住：在互联网上，每一次“登录”都是一次信任的托付。请务必确认，你托付的对象，是真实的服务器，而不是躲在幕后的攻击者。

作者：芦笛、张鑫中国互联网络信息中心

编辑：芦笛（公共互联网反网络钓鱼工作组）